Vu la procédure suivante :
Par une requête, un mémoire en réplique et un nouveau mémoire, enregistrés les 16 mars, 19 septembre et 30 novembre 2023 au secrétariat du contentieux du Conseil d'Etat, la société Voodoo demande au Conseil d'Etat :
1°) d'annuler la délibération n°SAN-2022-026 du 29 décembre 2022 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés a prononcé à son encontre une sanction pécuniaire de 3 millions d'euros à raison d'un manquement constaté au titre de l'article 82 de la loi n° 78-17 du 6 janvier 1978, assortie d'une injonction de mettre en conformité son traitement de données dans un délai de trois mois à compter de la notification de la délibération, sous astreinte de 20 000 euros par jour de retard, et de la publication de la délibération, qui n'identifiera plus nommément la société à l'expiration d'un délai de deux ans ;
2°) à titre subsidiaire, de réformer cette délibération en réduisant le montant de l'amende qui lui a été infligée et de l'annuler en tant qu'elle a prévu sa publication ;
3°) de mettre à la charge de la Commission nationale de l'informatique et des libertés la somme de 5 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la Constitution ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le décret n° 2019-536 du 29 mai 2019 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Philippe Bachschmidt, maître des requêtes en service extraordinaire,
- les conclusions de Mme Esther de Moustier, rapporteure publique ;
La parole ayant été donnée, après les conclusions, à la SCP Foussard, Froger, avocat de la société Voodoo ;
Considérant ce qui suit :
1. La société Voodoo demande l'annulation de la délibération du 7 décembre 2020 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une amende administrative d'un montant de 3 millions d'euros, à raison d'un manquement constaté au titre de l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, pour ne pas avoir recueilli le consentement des utilisateurs à l'utilisation de l'" Identifier for vendors " (IDFV) de leur téléphone de marque Apple à des fins publicitaires, lui a enjoint de mettre en conformité son traitement de données avec les obligations résultant de cet article, sous astreinte de 20 000 euros par jour de retard à l'issue d'un délai de trois mois suivant la notification de sa délibération, et a décidé de rendre publique sa délibération, qui n'identifiera plus nommément la société à l'expiration d'un délai de deux ans.
Sur la méconnaissance des droits de la défense :
2. La société requérante soutient que la procédure suivie devant la formation restreinte de la CNIL aurait méconnu les droits de la défense, en ce que le procès-verbal du contrôle en ligne réalisé le 18 juillet 2022, à la demande du rapporteur devant cette formation, ne lui aurait été communiqué que le 22 juillet 2022, en même temps que lui a été notifié le rapport prévu par l'article 22 de la loi du 6 janvier 1978, exposant le manquement reproché et proposant une sanction, l'empêchant de présenter des observations sur ce procès-verbal avant l'établissement du rapport. Toutefois, le principe des droits de la défense s'applique seulement à la procédure ouverte par la notification du rapport prévu par l'article 22 de la loi du 6 janvier 1978, dans les conditions prévues par le premier alinéa de cet article et par l'article 40 du décret du 29 mai 2019, et non aux diligences préalables effectuées par le rapporteur ou aux contrôles réalisés à sa demande en application de l'article 39 de ce décret. Si ces diligences et ces contrôles doivent se dérouler dans des conditions garantissant qu'il ne soit pas porté une atteinte irrémédiable aux droits de la défense des personnes auxquelles le rapport est ensuite notifié, il n'est en l'espèce pas établi, ni même allégué, qu'il aurait été porté une telle atteinte irrémédiable aux droits de la société requérante. Au demeurant, il résulte de l'instruction que la société a présenté des observations écrites sur ce procès-verbal le 3 août 2022, puis sur le rapport le 26 septembre 2022, qu'elle a présenté de nouvelles observations écrites le 21 novembre 2022, en réponse aux observations du rapporteur en date du 21 octobre 2022, et qu'elle a pu formuler des observations orales lors de la séance de la formation restreinte le 8 décembre 2022. Par suite, le moyen ne peut qu'être écarté.
Sur le manquement à l'article 82 de la loi du 6 janvier 1978 :
3. D'une part, en application du 2° du I de l'article 8 de la loi du 6 janvier 1978, la CNIL " veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France ". Aux termes de l'article 16 de la même loi : " La formation restreinte prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi dans les conditions prévues à la section 3 du présent chapitre (...) ".
4. D'autre part, aux termes de l'article 82 de la même loi : " Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : / 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; / 2° Des moyens dont il dispose pour s'y opposer. / Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. / Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : / 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ". Il résulte de ces dispositions que toute opération de recueil ou de dépôt d'informations stockées dans le terminal d'un utilisateur doit faire l'objet d'une information préalable, claire et complète relative à la finalité des cookies ou autres traceurs et aux moyens dont les utilisateurs disposent pour s'y opposer ainsi que du recueil préalable de leur consentement.
5. Il résulte de l'instruction et particulièrement du contrôle effectué par la CNIL, le 18 juillet 2022, à partir d'un téléphone mobile de marque Apple, que, lorsque l'utilisateur, après avoir ouvert l'une des onze applications éditées par la société requérante et présentées par celle-ci comme les plus téléchargées, refusait d'autoriser le suivi de ses activités à des fins publicitaires, au titre du dispositif de recueil de consentement mis en place sur ses appareils par la société Apple, appelé " sollicitation ATT " (" App Tracking Transparency "), il lui était délivré une information, sans dispositif de recueil de son consentement, selon laquelle des données techniques pourraient être collectées, par lecture de l'IDFV, identifiant unique attribué à chaque téléphone mobile par le système d'exploitation de la société Apple, pour lui proposer des " publicités non personnalisées en fonction de ses habitudes de navigation ". Il n'est pas contesté par la société requérante que les utilisateurs ne disposaient d'aucun moyen pour s'opposer au recueil de ces informations, alors qu'il avait une finalité publicitaire, de sorte qu'il ne pouvait relever des exceptions prévues par l'article 82 de la loi du 6 janvier 1978, autorisant la lecture de données par les cookies ou autres traceurs sans le consentement de l'utilisateur lorsque cette opération a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. Par suite, c'est à bon droit que la formation restreinte de la CNIL a considéré que le manquement de la société requérante à l'article 82 de la loi du 6 janvier 1978 était caractérisé, faute de recueil du consentement des utilisateurs à la collecte de leurs données. Il suit de là que doit être écarté le moyen tiré de ce que ce manquement ne serait pas établi.
Sur la sanction :
En ce qui concerne la motivation de la sanction :
6. D'une part, le 2 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit Règlement général sur la protection des données (RGPD), dispose que : " Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants : / a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ; / b) le fait que la violation a été commise délibérément ou par négligence ; / c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ; / d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 25 et 32 ; / e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ; / f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ; / g) les catégories de données à caractère personnel concernées par la violation ; / h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ; / i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ; / j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42 ; et / k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ".
7. D'autre part, aux termes de l'article 43 du décret du 29 mai 2019 pris pour l'application de la loi du 6 janvier 1978 : " La décision de la formation restreinte énonce les considérations de droit et de fait sur lesquels elle est fondée ".
8. Il résulte des dispositions qui précèdent que, dans l'hypothèse où la légalité d'une décision administrative repose sur la prise en compte d'un certain nombre de considérations, le respect de l'exigence de motivation qu'elles prévoient ne conduit son auteur à ne devoir énoncer que celles sur lesquelles se fonde la décision qu'il a prise. Il ne résulte en outre d'aucune disposition que la formation restreinte de la CNIL devrait procéder à une explicitation du montant des sanctions qu'elle prononce. Il suit de là que la formation restreinte de la CNIL, qui n'avait ni à se prononcer sur l'ensemble des critères prévus à l'article 83 du RGPD précité, ni à indiquer les éléments chiffrés relatifs au mode de détermination du montant de la sanction infligée, mais s'est notamment fondée de façon précise sur les critères prévus aux a et k du 2 de l'article 83 du RGPD ainsi que sur le modèle d'affaires de la société requérante et le poids qu'elle représente dans son secteur économique, n'a pas insuffisamment motivé sa décision.
En ce qui concerne le respect du principe de légalité des délits et des peines :
9. D'une part, aux termes du III de l'article 20 de la loi du 6 janvier 1978 : " Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou après avoir prononcé à son encontre une ou plusieurs des mesures correctrices prévues au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : (...) 2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard à compter de la date fixée par la formation restreinte ; (...) 7° A l'exception des cas où le traitement est mis en œuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 (...) ".
10. D'autre part, aux termes du deuxième alinéa de l'article 22 de la même loi : " La formation restreinte peut rendre publiques les mesures qu'elle prend. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu'elle désigne, aux frais des personnes sanctionnées ".
11. La formation restreinte de la CNIL, en prononçant une amende de 3 millions d'euros, a respecté les règles fixées par l'article 20 de la loi du 6 janvier 1978, cité au point 9. En outre, il ne résulte d'aucune disposition, comme il est dit au point 8, qu'elle devrait procéder à une explicitation du montant des sanctions qu'elle prononce. Par suite, la formation restreinte de la CNIL n'a pas méconnu le principe de légalité des délits et des peines.
En ce qui concerne le caractère proportionné de la sanction et des mesures correctrices :
12. En premier lieu, il résulte de l'instruction que, pour fixer le montant de la sanction pécuniaire infligée à la société requérante, la formation restreinte de la CNIL a tenu compte, au titre des critères prévus aux a et k du 2 de l'article 83 du RGPD, cité au point 3, du nombre d'utilisateurs des applications de la société requérante, en fonction des éléments chiffrés à sa disposition et sans que la loi du 6 janvier 1978 impose à cette fin une méthodologie particulière, du poids de la société dans son secteur économique ainsi que de la circonstance selon laquelle celle-ci retire plus de 95 % de ses revenus de la publicité. La formation restreinte n'a pas retenu un montant excédant le plafond fixé par le 7° du III de l'article 20 de la loi du 6 janvier 1978, cité au point 9, calculé par référence au chiffre d'affaires mondial. En outre, la circonstance que des amendes d'un montant plus faible, en proportion de leur chiffre d'affaires mondial, auraient été prononcées par la formation restreinte de la CNIL à l'encontre d'autres sociétés est sans incidence sur la proportionnalité de la sanction infligée à la société requérante. Il en est de même de la circonstance selon laquelle cette sanction serait excessive au regard de son chiffre d'affaires réalisé en France ou la priverait de l'intégralité de ses revenus générés auprès des utilisateurs français, dès lors qu'elle doit être calculée, en application du 7° du III de l'article 20 de la loi du 6 janvier 1978, par référence au chiffre d'affaires mondial. Compte tenu de la gravité du manquement constaté, qui tient à la nature des exigences méconnues et à son effet sur les utilisateurs, des avantages financiers qui ont pu en être tirés et de la situation financière de la société, la formation restreinte de la CNIL n'a pas, en retenant une amende de 3 millions d'euros, infligé à la société requérante une sanction d'un montant disproportionné.
13. En second lieu, en décidant, comme le permet l'article 22 de la loi du 6 janvier 1978, cité au point 10, compte tenu de la gravité du manquement en cause et du grand nombre d'utilisateurs concernés, de rendre publique sa délibération, qui n'identifiera plus nommément la société à l'expiration d'un délai de deux ans, la formation restreinte de la CNIL n'a pas pris une mesure disproportionnée.
14. Il résulte de tout ce qui précède que la société requérante n'est pas fondée à demander l'annulation de la délibération de la formation restreinte de la CNIL qu'elle attaque.
15. Les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce qu'une somme soit mise à ce titre à la charge de la CNIL, qui n'est pas, dans la présente instance, la partie perdante.
D E C I D E :
--------------
Article 1er : La requête de la société Voodoo est rejetée.
Article 2 : La présente décision sera notifiée à la société Voodoo et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 29 avril 2024 où siégeaient : M. Rémy Schwartz, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; M. Olivier Yeznikian, Mme Rozen Noguellou, M. Nicolas Polge, M. Vincent Daumas, M. Didier Ribes, conseillers d'Etat, et M. Philippe Bachschmidt, maître des requêtes en service extraordinaire-rapporteur.
Rendu le 14 mai 2024.
Le président :
Signé : M. Rémy Schwartz
Le rapporteur :
Signé : M. Philippe Bachschmidt
La secrétaire :
Signé : Mme Claudine Ramalahanoharana